Лабораторная работа №3

Кибербезопасность предприятия

НКНбд-01-22;

Аристид Жан,

Акопян Сатеник,

Кадров Виктор,

Нве Манге Хосе Херсон Мико,

Эспиноса Висилита Кристина Микаела,

НПИбд-01-22;

Стариков Данила,

НФИбд-02-22;

Чемоданова Ангелина

Цель работы

Основная цель данной лабораторной работы заключается в выполнении тренировки “Защита контроллера домена предприятия” в роли команды “Blue Team” (CSIRT — Computer Security Incident Response Team). В процессе выполнения работы необходимо освоить практические навыки выявления, анализа и устранения уязвимостей в различных системах, а также освоить навыки отработки действий по нейтрализации последствий успешных атак.

Легенда “Защита интеграционной платформы”

Внешний злоумышленник находит в интернете сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам компании. Обнаружив несколько уязвимостей на внешнем периметре и закрепившись на одном из серверов, Злоумышленник проводит разведку корпоративной сети с целью захватить контроллер домена.

Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.

Злоумышленник обладает опытом проведения почтовых фишинговых рассылок.

Описание сценария

Последовательность действий нарушителя следующая:

  1. Нарушитель проводит сканирование сети 195.239.174.0/24 и находит веб-сервер. Далее сканирует веб-сервер на предмет SQL-инъекций утилитой sqlmap. Нарушитель генерирует php reverse shell, используя найденную SQL-инъекцию, загружает вредоносный файл на веб-сервер. Для закрепления на хосте нарушитель устанавливает meterpreter-соединение.
  2. Нарушитель определяет маршрут к сети 10.10.2.0/24, сканирует сеть и находит почтовый сервер. Нарушитель генерирует письмо с вредоносным вложением и отправляет администратору.

Описание сценария

  1. Администратор открывает письмо, запускается вредоносный скрипт.
  2. Нарушитель получает контроль над компьютером администратора и meterpreter-сессию.
  3. Нарушитель находит AD&DNS сервер, проверяет, открыт ли порт 3389 (стандартный порт RDP). В случае открытого порта 3389 пытается с помощью инструмента hydra получить доступ к AD&DNS серверу, перебирая пароль по словарю. Для закрепления на контроллере домена нарушитель добавляет нового привилегированного пользователя.

Пояснения уязвимостей

Уязвимости и последствия:

  • SQL-инъекция -> Web portal meterpreter
  • Отключенная защита антивируса -> Admin meterpreter
  • Слабый пароль учетной записи -> Добавление привилегированного пользователя

Первый инцидент

Сетевой сенсор ViPNet IDS NS детектирует события сканирования веб-сервера на предмет SQL-инъекций, использование определенного типа инъекции (Blind SQL-Injection), а также загрузку вредоносного файла с php скриптом и выставление права доступа на выполнение.

Первый инцидент

Сканирование на предмет SQL-инъекций

Первый инцидент

Детектирование SQL-инъекции

Первый инцидент

Загрузка вредоносного файла и выставление права доступа на выполнение

Первый инцидент

Карточка первого инцидента

Устранение уязвимости “SQL-инъекция”

Решение: известно, что $id является уязвимым параметром, следует проверять тип данного параметра. Требуется найти место кода, где данный параметр считывается из GET запроса.

Поиск места уязвимого параметра

Устранение уязвимости “SQL-инъекция”

Считывание параметра сайта происходит в функции actionView() в файле NewsController.php.

Параметры уязвимой функции

Устранение уязвимости “SQL-инъекция”

Для проверки типа $id используется функция is_numeric, которая возвращает True в случае, если $id – число, иначе – False. В случае успешной проверки параметр $id будет передаваться в запрос, иначе – запрос будет статичным и независимым от $id.

Устранение уязвимости “SQL-инъекция”

Измененная функция actionView с проверкой типа параметра $id

После внесения изменений в файл конфигурации и проверки значения параметра $id уязвимость SQL-инъекции успешно устранена.

Последствие Web portal meterpreter

Нарушитель устанавливает shell сессию с веб-порталом PHP. Для обнаружения последствия необходимо проверить сокеты уязвимой машины при помощи утилиты ss с ключами –tp. На скриншоте ниже изображено активное соединение веб-портала с IP-адресом нарушителя (195.239.174.11). Необходимо устранить соединение, воспользовавшись командой kill.

Завершение сессии с нарушителем

В результате выполнения команды сессия с нарушителем завершена, последствие Web portal meterpreter успешно устранено.

Второй инцидент

Один из способов проверки состояния защиты в реальном времени Windows Defender – в Powershell ввести команду Get-MpPreference и проверить значение параметра DisableRealtimeMonitoring. Если значение – True, то защита в реальном времени выключена.

Второй инцидент

Настройки Windows Defender

На вышеупомянутом рисунке изображено значение «true» параметра DisableRealtimeMonitoring, что означает отключенную защиту антивируса на узле.

Второй инцидент

Карточка второго инцидента

Устранение уязвимости “Отключенная защита антивируса”

Решение: на узле Administrator Workstation вручную удалить запись в реестре или через консоль, используя команду: REG DELETE «HKLM/SOFTWARE/Policies/Microsoft/Windows Defender» /v DisableAntiSpyware. Подтвердить действие, далее в Windows Defender перезапустить Virus & Threat Protection и включить Real-time Protection.

Устранение уязвимости “Отключенная защита антивируса”

Удаление записи DisableAntiSpyware в реестре

Устранение уязвимости “Отключенная защита антивируса”

Интерфейс Windows Defender

Устранение уязвимости “Отключенная защита антивируса”

Включение Real-time Protection

После удаления записи реестра и включения защиты антивирусной программы Microsoft Defender необходимо перезагрузить Windows.

Последствие Admin meterpreter

Установленную сессию с нарушителем можно обнаружить при помощи утилиты netstat с ключами -ano. Для устранения необходимо завершить сессию с машиной нарушителя. Например, при помощи команды taskkill /f /pid . В результате выполнения команды сессия с машиной нарушителя завершена, последствие Admin meterpreter успешно устранено.

Последствие Admin meterpreter

Соединение с машиной нарушителя

Последствие Admin meterpreter

Остановка процесса

Третий инцидент

С помощью ViPNet IDS NS в сетевом трафике обнаруживаются множественные попытки подключения к хосту AD&DNS с портом 3389, сканирование системы, что может говорить о попытках подбора пароля. Также если мы зайдем на сам узел MS Active Directory, откроем Viewer Properties, перейдем в необходимую директорию с событиями (TerminalServeces…), то сможем увидеть событие с кодом 1149, которое говорит о том, что пользователю удалось подключиться по RDP.

Третий инцидент

Детектирование Remote Desktop Protocol

Третий инцидент

Карточка третьего инцидента

Устранение уязвимости “Слабый пароль учетной записи”

Решение: изменить пароль к учетной записи администратора на более сложный, не содержащийся в словарях.

Изменение пароля администратора

На вышеупомянутом рисунке изображена смена пароля администратора на узле MS Active Directory командой «net user Administrator *». В результате изменения ненадежного пароля уязвимость успешно устранена.

Последствие AD User

Добавление нового привилегированного пользователя можно отследить с помощью аудита событий входа в учетную запись Windows security, где появится событие с ID 4720. Необходимо перейти в Event Viewer и в Windows Logs – Security, затем применить фильтр на логи. Ниже показан лог, генерируемый при добавлении нового пользователя.

Последствие AD User

Лог добавления нового пользователя

Последствие AD User

Для удаления пользователя необходимо зайти в Administrative Tools – Active Directory Users and computers. Затем во вкладке Users найти и удалить нового привилегированного пользователя с именем «Hacked».

Последствие AD User

Удаление пользователя hacker в AD User & Computers

Последствие AD User

Удаление пользователя hacker в AD User & Computers

В результате выполнения вышеупомянутых действий привилегированный пользователь удален, последствие AD User успешно устранено.

Результат проделанной работы

Результат проделанной работы

Вывод

В ходе выполнения данной лабораторной работы мы выполнили тренировку “Защита контроллера домена предприятия” в роли команды “Blue Team” (CSIRT — Computer Security Incident Response Team). В процессе выполнения работы освоили практические навыки выявления, анализа и устранения уязвимостей в различных системах, а также освоили навыки отработки действий по нейтрализации последствий успешных атак.